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fT) (57) Abstract: The invention concerns a security method for an electronic assembly implementing a cryptographic computation 
process using a modular exponentiation of a quantity (x), said modular exponentiation utilising a secret exponent {d). The invention 
j s characterised in that it consists in breaking down said secret exponent into a plurality of k unpredictable values {du d 2 , <4) 

SJ^ whereof the sum is equal to said secret exponent. 



(57) Abrege: V invention conceme un precede" de securisation d'un ensemble el ectronique mettant en oeuvre un processus de calcul 
Q cryptographique faisant intervenir une exponentiation modulaire d'une grandeur (x), ladite exponentiation modulaire utilisant un 

exposant secret (d), caractense* en ce que Ton decompose ledit exposant secret en une plurality de k valeurs impnSvisibles {du d 2t .... 
^* <4) dont la somme est dgale audit exposant secret. 
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PROCEDE DE SECURISATION D'UN ENSEMBLE ELECTRONIQUE 
DE CRYPTOGRAPHIE A BASE D'EXPONENTIATION MODULAIRE 
CONTRE LES ATTAQUES PAR ANALYSE PHYSIQUE 

5 La presente invention concerne un precede de securisation d'un ensemble 
electronique mettant en oeuvre un algorithme faisant intervener une exponentiation 
modulaire, dans laquelle l'exposant est secret. Plus prdcisement, le proc&te vise a 
realiser une version d'un tel algorithme qui ne soit pas vulnerable face 4 un certain 
type d' attaques physiques - dites « analyse d'&iergie Electrique diflFerentielle ou 

10 analyse d'energie electrique diflFerentielle de haut niveau » {Differential Power 
Analysis ou High-Order Differential Power Analysis, en langage anglo-saxon, en 
abreg6 DPA ou HO-DPA) - qui cherchent a obtenir des informations sur la cle 
secrete a partir de V etude de la consommation electrique de 1' ensemble electronique 
au cours de F execution du calcul. 

15 

Les algorithmes cryptographiques consideres ici utilisent une cle secrete pour calculer 
une information de sortie en fonction d'une information d'entree ; il peut s'agir d'une 
operation de chiffrement, de dechiffrement ou de signature ou de verification de 
signature, ou d'authentification ou de non-repudiation ou d'echange de cle. lis sont 
20 construits de maniere a ce qu'un attaquant, connaissant les entrees et les sorties, ne 
puisse en pratique deduir? aucune information sur la cle secrete elle-meme. 

On s'interesse done a une classe plus large que celle traditionnellement designee par 
r expression algorithmes a cle secrete ou algorithmes symetriques. En particulier, 
25 tout ce qui est decrit dans la presente demande de brevet s'applique 6galement aux 
algorithmes dits a cle publique ou algorithmes asymetriques, qui component en fait 
deux cles : Tune publique, et 1'autre, privee, non divulguee, cette derniere etant celle 
visee par les attaques decrites ci-dessous. 

30 Les attaques de type Analyse de Puissance Electrique, developpfes par Paul Kocher 
et Cryptographic Research (Confer document Introduction to Differential Power 
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Analysis and related Attacks by Paul Kocher, Joshua Jaffe, and Benjamin Jun, 
Cryptography Research, 870 Market St., Suite 1008, San Francisco, CA 94102, 
edition du document HTML k 1'adresse URL : 

http://wwwxryptography.com/dpa/technic^mdex.htmI) partent de la constatation 
5 qu'en rdalite Tattaquant peut acquerir des informations, autres que la simple donnee 
des entrees et des sorties, lors de r execution du calcul, comme par exemple la 
consommation electrique du microcontroleur ou le rayonnement electromagnetique 
emis par le circuit. 

10 L'analyse d'energie electrique difFerentielle est une attaque permettant d*obtenir des 
informations sur la cle secrete contenue dans P ensemble electronique, en efFectuant 
une analyse statistique des enregistrements de consommation electrique effectues sur 
un grand nombre de calculs avec cette meme cle. 

15 Cette attaque ne necessite aucune connaissance sur la consommation electrique 
individuelle de chaque instruction, ni sur la position dans le temps de chacune de ces 
instructions. Elle s'applique de la meme maniere si on suppose que Tattaquant 
connait des sorties de l'algorithme et les courbes de consommation correspondantes. 
Elle repose uniquement sur Thypothese fondamentale selon laquelle : 

20 

Hvpothese fondamentale : II existe une variable intermediaire, apparaissant dans le 
cours du calcul de t'algorithme, telle que la connaissance de quelques bits de cle, en 
pratique moins de 32 bits, permet de decider si deux entrees, respectivement deux 
sorties, donnent ou non la meme valeur pour cette variable. 

25 

Les attaques dites par analyse d'energie electrique de haut niveau sont une 
generalisation de Tattaque DPA decrite precedemment. Elles peuvent utiliser 
plusieurs sources d'information differentes : outre la consommation, elles peuvent 
mettre en jeu les mesures de rayonnement electromagnetique, de temperature, etc. et 
30 mettre en oeuvre des traitements statistiques plus sophistiques que la simple notion de 
moyenne, des variables intermediaires moins elementaires qu'un simple bit ou un 
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simple octet. Neanmoins, elles reposent exactement sur la meme hypoth&se 
fondamentale que la DP A. 

Le precede, objet de la presente invention, a pour objet la suppression des risques 
5 d'attaques DPA ou HO-DPA d'ensembles ou systemes electroniques de cryptographie 
a cl6 secrete ou privee, feisant intervenir une exponentiation modulaire, dans laqueUe 
l'exposant est secret. 

Un autre objet de la presente invention est en consequence une modification du 
10 processus de calcul cryptographique mis en oeuvre par les systemes electroniques de 
cryptographie proteges de maniere que 1'hypothese fondamentale precitee ne soit plus 
verifiee, a savoir qu'aucune variable intermediate ne depend de la consommation d*un 
sous-ensemble aisement accessible de la cle secrete ou privee, les attaques de type 
DPA ou HO-DPA etant ainsi rendues inoperantes. 

15 

Premier cxemole ; Talgorithme RSA 

Le RSA est le plus celebre des algorithmes cryptographiques asymetriques. II a ete 
developpe par Rivest, Shamir et Adleman en 1978. Pour une description plus 
20 detaillee de cet algorithme, on pourra utilement se reporter au document ci-apres : 

• R.L. Rivest, A. Shamir, L.M. Adleman, A Method for Obtaining Digital 
Signatures and Public-Key Cryptosystems, Communications of the ACM, 21, n°2, 
1978, pp. 120-126, 

ou aux documents suivants : 
25 • ISO/EC 9594-8/TTU-T X.509, Information Technology - Open Systems 
Interconnection - The Directory: Authentication Framework, 

• ANSI X9.31-1, American National Standard, Public-Key Cryptography Using 
Reversible Algorithms for the Fitiancial Services Industry, 1 993; 

• PKCS #1, RSA Encryption Standard, version 2, 1998, disponible a Fadresse 
30 suivante : 

ftp://ftp.rsa.com/pub/pkcs/doc/pkcs-l v2.doc. 
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L'algorithme RSA utilise un nombre entier n qui est le produit de deux grands 
nombres premiers p et q 9 et un nombre entier e, premier avec ppcm(p-l,q-l) 9 et tel 
que e *± 1 mod ppcm(p-l t q-l). Les entiers w et e constituent la cl6 publique. Le 
5 calcul en cle publique fait appel a la fonction g de Z/nZ dans Z/nZ d#inie par g(x) 
mod n. Le calcul en cle secrete fait appel a la fonction g'(y)=/ mod w, ou d est 
1'exposant secret (appele aussi cle secrete, ou privee) defini par ed m I mod ppcm(p- 

1 0 Les attaques de type DP A ou HO-DPA font peser une menace sur les mises en ceuvre 
classiques de ralgorithme RSA. En effet , celles-ci utilisent tres souvent le principe 
dit de square and multiply en langage anglo-saxon pour effectuer le calcul de x? mod 

n. 

15 Ce prindpe consiste a ecrire la decomposition 
d = b^<T l + b^-ir 2 + ... + b r 2 ! + bo-2° 

de Texposant secret d en base 2, puis d'effectuer le calcul de la maniere suivante : 
20 1. 

pour i allant de m-1 jusqu'a 0 fsiire : 

2. r^-^mod/i; 

3. si A/ = J alorsz <-z xx mod n. 

25 Dans ce calcul, on constate que parmi les valeurs successives prises par la variable z, 
les premieres ne dependent que de quelques bits de la cl6 secrete d. L'hypothese 
fondamentale pennettant Tattaque DPA est done realis6e. On peut ainsi deviner par 
exemple les 10 bits de pcids fort de d en s'interessant aux mesures de consommation 
sur la partie de ralgorithme correspondant a / allant de m-1 a m-10. On peut ensuite 

30 continuer Tattaque on utilisant les mesures de consommation sur la partie de 
ralgorithme correspondant a i allant de m-11 a ce qui permet de trouver les 10 
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bits suivants de rf, et ainsi de suite. On trouve finalement tous les bits de 1'exposant 
secret d. 

Une premiere m&hode de securisation. et ses inconvenients 

5 

Une m&hode classique (proposee par Ronald Rivest en 1995) pour proteger 
1'algorithme RSA contre les attaques de type DPA consiste a utiliser un principe de 
" blinding " (camouflage). On utilise le fait que : 

10 mod n = (x x r*) d x f 1 mod n 

Ainsi le calcul de^ = x? mod n se decompose en quatre etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur r ; 

• On calcule :u = x xi* modn ; 
15 • On calcule : v = tfmodn ; 

• On calcule :y - v xf l mod n. 

L' inconvenient de cette methode est qu'elle oblige, pour chaque calcul, a calculer 
1' inverse modulaire f 1 de la valeur aleatoire r, cette operation etant en general 

20 couteuse en temps (la duree d'un tel calcul est du meme ordre que celle d'une 
exponentiation modulaire telle que u d mod n). Par consequent, cette nouvelle 
implementation (protegee contre les attaques DPA) du calcul de x? mod n est environ 
deux fois plus lente que I'impl&nentation initiate (non protegee contre les attaques 
DPA). En d'autres termes, cette protection du RSA contre les attaques DPA accroit 

25 le temps de calcul de 100% environ (en supposant que l'exposant public e est tres 
petit, par exemple e=5 ; si l'exposant e est plus grand, ce temps de calcul est encore 
plus grand). 

Une deuxieme mdthode : le procede de la presente invention 
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Selon 1'invention, un procede de securisation d'un ensemble electronique mettant en 
oeuvre un processus de calcul cryptographique faisant intervenir une exponentiation 
modulaire d'une grandeur (x), ladite exponentiation modulaire utilisant un exposant 
secret (d) y est caracteris^ en ce que Ton decompose ledit exposant secret en une 

5 pluralite de * valeurs imprevisibles (di ,d 2 d k ) dont la somme est egale audit 

exposant secret. 

Avantageusement, lesdites valeurs (d s ,d 2 , t du ) sont obtenues de la maniere 

suivante : 

10 a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere valeur est obtenue par difference entre Y exposant secret et les (k- 
1) valeurs. 

Avantageusement, le calcul de V exponentiation modulaire est effectue de la maniere 
suivante : 

a) pour chacune desdites * valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

b) on calcule un produit des resultats obtenus a I'etape a). 

Avantageusement, au moins Tune desdites (k-1) valeurs obtenues au moyen d'un 
generateur aleatoire a une longueur superieure ou egale a 64 bits. 

Des details et avantages de la presente invention apparaitront au cours de la 
25 description suivante de quelques modes d'execution preferes mais non limitatifs, en 
regard de la figure unique annexee, representant une carte a puce. 

Selon 1'invention, on utilise le fait que : 

30 sid = di + d* alors^ modn = x d ' xx 2 mod n 
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Ainsi le calcul dej> = it mod n se decompose en cinq etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur d t ; 

• On calcule ; 

• On calcule : u - x l modrt ; 
5 • On calcule \ v = x 2 mod n ; 

• On calcule :y ■» u xv modrt. 

L'avantage est que, de cette maniere, il n'y a pas d'inverse modulaire k calculer. En 
general, le temps de calcul d'une exponentiation modulaire est proportionnel k la 
10 taille de l'exposant Ainsi si on note a le rapport entre la taille de d t et la taille de d 2y 
on se rend compte que le temps total du calcul dans cette nouvelle implementation 
(protegee contre les attaques DP A) est environ (J+a) fois le temps de calcul dans 
Timplementation initiale (non protegee contre les attaques DP A). 

15 Notons que, pour obtenir une valeur d t non predictible, il est necessaire que sa taille 
soit au moins de 64 bits. 

Le procede ainsi d&rit rend inoperantes les attaques de type DPA ou HO-DPA 
decrites precddemment. En effet, pour decider si deux entrees (respectivement deux 

20 sorties) de Talgorithme donnent ou non la meme valeur pour une variable 
intermediaire apparaissant au cours du calcul, il ne suffit plus de connaitre les bits de 
cle mis en jeu. II feut egalement connaitre la decomposition de la cle secrete d en k 
valeurs d u d 2 , .... d k telles que d=di+d 2 + Si on suppose que cette 

decomposition est secrete, et qu'au moins une des k valeurs a une taille d'au moins 

25 64 bits, l'attaquant ne peut pas prevoir les valeurs de d\ d kj et done Thypothese 

fondamentale, qui permettait de mettre en oeuvre une attaque de type DPA ou HO- 
DPA, n*est plus verifiee. 



Exemples : 
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1. Si n a une longueur de 512 bits, en choisissant de prendre une valeur aleatoire dj 
de 64 bits, on obtient a=//8, ce qui fait que cette protection du RSA contre les 
attaques DPA accrott le temps de calcul de 12.5 % environ. 

2. Si n a une longueur de 1024 bits, en choisissant de prendre une valeur aleatoire dj 
5 de 64 bits, on obtient a=l/I6, ce qui fait que cette protection du RSA contre les 

attaques DPA accrott le temps de calcul de 6.25% environ. 

Deuxieme exemple : 1* algorithme de Rabin 

10 Nous considerons ici P algorithme cryptographique asymetrique developpe par Rabin 
en 1979. Pour une description plus detaillee de cet algorithme, on pourra utilement se 
reporter au document su.vant : 

• M.O. Rabin, Digitized Signatures and Public-Key Functions as Intractable as 
Factorization, Technical Report LCS/TR-212, M.I.T. Laboratory for Computer 

15 Science, 1979. 

L' algorithme de Rabin utilise un nombre entier n qui est le produit de deux grands 
nombres premiers p et q y verifiant en outre les deux conditions suivantes : 

• p est congru a 3 modulo 8 ; 
20 • q est congru a 7 modulo 8. 

Le calcul en cle publique fait appel a la fonction g de Z/nZ dans Z/nZ definie par 
g(x)^ mod n. Le calcu) en cle secrete fait appel a la fonction g*(y)=yf mod w, ou d 
est Texposant secret (appele aussi cle secrete, ou privee) defini par d=((p-l)(q- 
l)/4+l)/2. 

25 

La fonction mise en jeu par le calcul en cle secrete 6tant exactement la meme que 
celle utilisee par Talgorithme RSA, les memes attaques DPA ou HO-DPA sont 
applicables et font peser les memes menaces sur P algorithme de Rabin. 

30 Securisation de P algorithme 
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Corame la fonction est exactement la meme que celle du RSA, le proc&te de 
securisation decrit dans le cadre du RSA s'applique de la meme maniere au cas de 
l'algorithme de Rabin. L'accroissement du temps de calcul provoquS par Fapplication 
de ce proc&te est 6galement le meme que dans le cas de ralgorithme RSA. 



L'invention peut etre mise en oeuvre dans tout ensemble 61ectronique 
effectuant un calcul cryptographique faisant intervenir une exponentiation modulaire, 

1 0 notamment une carte a puce 8 selon la figure unique. La puce inclut des moyens de 
traitement de Tinformation 9, relies d'un cote a une memoire non volatile 10 et a une 
memoire volatile de travail RAM 1 1, et relies d'un autre cote a des moyens 12 pour 
cooperer avec un dispositif de traitement de 1'information. La memoire non volatile 
10 peut comprendre une parti e non modifiable ROM et une partie modifiable 

15 EPROM, EEPROM, ou constitute de memoire RAM du type "flash" ou FRAM 
(cette derniere etant une memoire RAM ferromagnetique), c'est-a-dire presentant les 
caracteristiques d\ine memoire EEPROM avec en outre des temps d'acces identiques 
a ceux d'une RAM classique. 

20 En tant que puce, on pourra notamment utiliser un microprocesseur 

autoprogrammable a memoire non volatile, tel que decrit dans le brevet americain n° 
4.382.279 au nom de la Demanderesse. Dans une variante, le microprocesseur de la 
puce est remplace - ou tout du moins complete - par des circuits logiques implantes 
dans une puce a semi-conducteurs. En efFet, de tels circuits sont aptes a effectuer 

25 des calculs, notamment d'authentification et de signature, grace a de relectronique 
cablee, et non microprogrammee. lis peuvent notamment etre de type ASIC (de 
I'anglais « Application Specific Integrated Circuit »). Avantageusement, la puce sera 
confue sous forme monclithique. 

30 Dans le cas de 1'utilisation d'un tel ensemble electronique, Tinvention consiste en un 
proced6 de securisation d'un ensemble electronique comprenant des moyens de 
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traitement d'information et des moyens de memorisation d'information, le proc6d6 
mettant en ceuvre un processus de calcul cryptographique faisant intervenir une 
exponentiation modulate d'une grandeur (x) stock^e dans les moyens de 
memorisation d'information, ladite exponentiation modulaire utiiisant un exposant 
5 secret (d) stocks dans les moyens de memorisation, caracterise en ce que Ton 
decompose, grace auxdits moyens de traitement d'information, ledit exposant secret 
lu dans lesdits moyens de memorisation d'information en une plurality de * valeurs 

imprevisibles (d§ ,d 3 d k ) dont la somme est egale audit exposant secret, lesdites 

k valeurs imprevisibles etant stockees dans les moyens de memorisation 
10 d'information. 

Avantageusement, lesdites valeurs (d t ,d 2 , d k ) sont obtenues de la maniere 

suivante : } 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire et stockees 
1 5 dans les moyens de memorisation d'information ; 

b) la derniere valeur est obtenue par difference entre l'exposant secret et les (k- 
1) valeurs, calculee grace auxdits moyens de traitement d'information. 

Avantageusement, le calcul de I' exponentiation modulaire est effectu6 de la maniere 
20 suivante : 

a) pour chacune desdites k valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

b) on calcule un produit des resultats obtenus a 1'etape a). 

25 

Avantageusement, au moins Tune desdites (k-1) valeurs obtenues au moyen d'un 
generateur aleatoire a une longueur superieure ou egale a 64 bits. 
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REVINDICATIONS 

1. Procette de s6curisation d'un ensemble dlectronique mettant en oeuvre un 
processus de calcul cryptographique faisant intervenir une exponentiation modulaire 

5 d'une grandeur (x) 9 Iadite exponentiation modulaire utilisant un exposant secret (d), 
caracterise en ce que Ton decompose ledit exposant secret en une plurality de k 
valeurs imprevisibles (d f ,4? t d k ) dont la somme est egale audit exposant secret. 

2. Precede selon la revendication 1, caracterise en ce que lesdites valeurs (d t ,d 2 
10 , d k ) sont obtenues de la maniere suivante : 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere valeur est obtenue par difference entre V exposant secret et les (k- 
1) valeurs. 

15 3. Proc6de selon la revendication 1, caracterise en ce que le calcul de 
r exponentiation modulaire est effectue de la maniere suivante : 
a) pour chacune desdites * valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

20 b) on calcule un produit des resultats obtenus a Tetape a). 

4. Procede selon la revendication 1, caracterise en ce qu'au moins Tune desdites (k- 
1) valeurs obtenues au moyen d'un generateur aldatoire a une longueur superieure ou 
ggale a 64 bits. 

25 

5. Utilisation du procede selon la revendication 1 dans une carte a puce comport ant 
des moyens de traitement de l'information. 

6. Utilisation du procede selon la revendication 1 pour la securisation d'un 
30 processus de calcul cryptographique utilisant l'algorithme RS A. 



WO 01/31436 



PCIYFR00/02978 



12 

7. Utilisation du proc&te selon la revendication 1 pour la securisation d'un 
processus de calcul cryptographique utilisant ralgorithme de Rabin. 
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